Siemens sanoat uskunalarida xavfli zaifliklar aniqlandi

Muammolardan foydalanish zaif qurilmalarda xizmat ko’rsatishning rad etilishiga olib kelishi mumkin.

Siemens raqamli podstansiya boshqaruv uskunalarida ikkita zaiflik aniqlandi, agar ulardan foydalanilsa, qurilmalarni ishlamay qolishi mumkin. Muammolar EN100 aloqa moduli va SIPROTEC 5 terminaliga ta’sir qiladi, ular elektr inshootlarini avtomatlashtirish tizimlarida qo’llaniladi. Xususan, quyidagi mahsulot versiyalari ta’sirlangan: EN100 uchun IEC 61850 (v4.33 dan oldingi barcha versiyalar), EN100 uchun PROFINET IO (barcha versiyalar), EN100 uchun Modbus TCP (barcha versiyalar), EN100 uchun DNP3 TCP (barcha versiyalar), EN100 uchun IEC104 (barcha versiyalar), CP300 va CP100 protsessor modellari va mos keladigan aloqa modullari bilan SIPROTEC 5 (v7.80 dan oldingi barcha versiyalar), shuningdek, CP200 protsessori va mos keladigan aloqa modullari bilan SIPROTEC 5 (v7.58 dan oldingi barcha versiyalar).

Zaifliklar (CVE-2018-11451 va CVE-2018-11452) CVSS v3 bo’yicha mos ravishda 7,5 va 5,9 ball oldi (mumkin bo’lgan 10 balldan). Ushbu muammolar noto’g’ri kirish tekshiruvi tufayli yuzaga keladi va zaif qurilmalarda maxsus tayyorlangan paketlarni 102/TCP portiga yuborish orqali ishlatilishi mumkin. Hujumchi ushbu zaifliklardan foydalanish uchun foydalanuvchi bilan o’zaro aloqani yoki yuqori imtiyozlarni talab qilmaydi.

Bir qator mahsulotlar uchun tuzatish yangilanishlari ishlab chiqaruvchining veb-saytida allaqachon mavjud. Boshqa mahsulotlar uchun yangilanishlar keyinroq e’lon qilinadi.